KI-Regulierung für Robo-Advisor: 5 Fakten zur Haftung

Ein Algorithmus analysiert Ihr Portfolio, schlägt Umschichtungen vor, führt sie aus – und wenn dabei 12.000 Euro Verlust entstehen, fragt sich jeder: Wer ist schuld? Die KI? Der Anbieter? Der Entwickler? Spoiler: Die KI haftet nicht. Was das konkret bedeutet, und warum der EU AI Act die Spielregeln für Robo-Advisor gerade neu schreibt, rechnen wir durch.

Vom Regelwerk zum lernenden Analysten: Was Robo-Advisor heute leisten

Frühe Robo-Advisor waren ehrlich gesagt Taschenrechner mit Benutzeroberfläche. Fünf Fragen zum Risikoprofil, fertig war die statische Asset-Allokation: 60 Prozent ETF, 30 Prozent Anleihen, 10 Prozent Cash. Das war vor einem Jahrzehnt Innovation. Heute verschieben KI-gestützte Systeme das Bild erheblich.

Konkret können moderne KI-Robo-Advisor historische Marktdaten auf Muster durchsuchen, die kein Mensch in dieser Geschwindigkeit erkennen würde. Sie leiten Prognosen für unsichere Marktszenarien ab, passen Strategien dynamisch an Marktveränderungen an und integrieren unstrukturierte Daten – Nachrichtenlage, Sentiment-Analysen, Makrodaten – in Echtzeit. Klingt beeindruckend. Der Haken: Je komplexer das Modell, desto opaker wird der Entscheidungsweg. Fachjargon: Black Box.

Rechnen wir nach, was das für einen Privatanleger bedeutet. Angenommen, ein KI-Robo-Advisor verwaltet 50.000 Euro und schichtet im Herbst 2024 automatisch 40 Prozent in Schwellenländer-Aktien um – basierend auf Muster-Erkennungen, die kein Mensch hinterfragt hat. Der Markt dreht, Verlust: 8.000 Euro. Der Anleger will wissen, warum die KI so entschieden hat. Die Antwort des Anbieters: Das Modell hat historische Korrelationen gewichtet. Mehr Erklärung? Fehlanzeige, weil das Modell intern keine nachvollziehbaren Einzelschritte dokumentiert.

Genau hier setzt die KI-Regulierung an – und das ist keine abstrakte Behördenübung, sondern ein konkretes Verbraucherproblem.

EU AI Act: Die Uhr läuft, und zwar bereits

Die Verordnung (EU) 2024/1689, kurz AI Act, ist seit dem 1. August 2024 in Kraft. Seit dem 2. Februar 2025 gelten bereits die Verbote für KI-Praktiken mit unzulässigem Risiko – Systeme, die gegen diese Verbote verstoßen, müssen vom EU-Binnenmarkt genommen werden. Ab dem 2. August 2025 greifen die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Der Großteil der übrigen Vorschriften gilt ab dem 2. August 2026 vollständig. Für Hochrisiko-KI, die in andere regulierte Produkte eingebettet ist, gibt es einen verlängerten Übergangszeitraum bis zum 2. August 2027.

Für Finanzdienstleister und Robo-Advisor-Anbieter ist besonders relevant: Der AI Act definiert ein KI-System als maschinengestütztes System, das in unterschiedlichem Maß autonom operiert, sich nach Inbetriebnahme anpassen kann und aus Eingaben Vorhersagen, Empfehlungen oder Entscheidungen ableitet, die reale Umgebungen beeinflussen. Passt auf jeden KI-gestützten Robo-Advisor wie der Deckel auf den Topf.

Der Sanktionsrahmen ist konkret und schmerzhaft. Bei Verstößen gegen verbotene KI-Praktiken drohen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Sonstige Verstöße kosten bis zu 15 Millionen Euro oder drei Prozent. Welche Pflichten den deutschen Markt konkret treffen, hat das Robo-Advisor-Portal ausführlich zusammengefasst. Zum Vergleich: Bei einer mittelgroßen Fintech-Plattform mit 200 Millionen Euro Jahresumsatz wären drei Prozent bereits sechs Millionen Euro. Das ist kein Pappenstiel.

Hochrisiko oder nicht? Die entscheidende Einstufungsfrage

Ob ein KI-System als Hochrisiko-System eingestuft wird, entscheidet über das Ausmaß der Pflichten: Risikomanagement, Datenqualität, Transparenz, Dokumentation und Human Oversight sind dann keine Option, sondern Pflicht. Für Kreditwürdigkeits-Scoring und ähnliche Finanzentscheidungen ist die Hochrisiko-Einstufung klar. Bei automatisierten Portfolioallokationen und Suitability-Entscheidungen ist die genaue Grenzziehung noch im Fluss – nationale Aufsichtsbehörden und die EU-Kommission werden hier Leitlinien nachliefern müssen.

Das erzeugt aktuell eine Grauzone, die Anbieter nervös macht. Und die ich persönlich für das größte operative Risiko der nächsten 18 Monate halte. Wer jetzt wartet, bis die Leitlinien kommen, investiert vielleicht zu spät in Compliance-Strukturen.

Was bereits bindendes Recht ist: Bis spätestens zum 2. August 2025 muss jeder EU-Mitgliedstaat eine nationale KI-Aufsichtsbehörde benennen. In Deutschland fällt diese Rolle voraussichtlich der BaFin zu, die bereits bestehende Aufsichtsbefugnisse über Finanzdienstleister hat – und damit über Robo-Advisor-Anbieter.

Haftung: Die KI haftet nicht – aber wer dann?

Hier wird es juristisch präzise, und das ist wichtig, weil viele Medienberichte dies vernebeln. Eine KI ist kein Rechtssubjekt. Sie kann nicht verklagt werden, keine Strafe erhalten, keine Verantwortung tragen. Haftung trifft ausschließlich natürliche oder juristische Personen.

Konkret für den Robo-Advisor-Bereich: Der anbietende Finanzdienstleister bleibt primärer Haftungsträger – aus Vertragsrecht, Deliktsrecht und Prospekthaftung. Daneben kommt eine Haftung des Software-Entwicklers in Betracht, insbesondere bei Programmierungs- oder Produktfehlern im KI-Modell selbst. Wie Finanzrechtskanzleien diese Haftungskette einordnen, zeigt etwa die Analyse von Schalast zu Robo Advisory im Finanzdienstleistungsrecht.

Die klassischen Angriffspunkte für Schadensersatz bleiben dabei dieselben wie bei der klassischen Anlageberatung: mangelhafte Anlegeraufklärung über Risiken und Funktionsweise des Systems sowie unzureichend gemanagte Interessenkonflikte. Wenn ein Robo-Advisor bevorzugt hausinterne ETFs empfiehlt und das nicht transparent kommuniziert, ist das ein handfestes Haftungsrisiko – KI hin oder her.

Zum Vergleich: Ein menschlicher Anlageberater, der dieselbe intransparente Empfehlung ausspricht, haftet nach §63 WpHG (Wohlverhaltensregeln). Der KI-Robo-Advisor-Anbieter haftet nach denselben Vorschriften, ergänzt künftig durch die zusätzlichen Anforderungen des AI Act. Technologieneutralität ist hier nicht Schwäche des Rechts, sondern Stärke.

Beweislastverteilung: Wer muss was nachweisen?

Ein in der öffentlichen Debatte häufig unterschätzter Aspekt ist die Frage der Beweislast. Im klassischen Schadensersatzrecht gilt: Der Geschädigte muss den Fehler und den Kausalzusammenhang beweisen. Bei einem intransparenten KI-System, das keine nachvollziehbaren Entscheidungsschritte dokumentiert, ist das für Privatanleger praktisch ein unlösbares Problem. Wie soll ein Anleger belegen, dass ein neuronales Netz die Portfolioumschichtung fehlerhaft vorgenommen hat, wenn selbst der Anbieter die innere Logik des Modells nicht vollständig aufschlüsseln kann?

Die EU-KI-Haftungsrichtlinie, die parallel zum AI Act diskutiert wird, adressiert genau diesen Punkt. Sie sieht eine Beweislasterleichterung für Geschädigte vor: Wenn ein Anbieter seinen Offenlegungspflichten nicht nachkommt und dadurch der Geschädigte keinen Zugang zu relevanten Beweismitteln hat, kann ein Kausalzusammenhang widerlegbar vermutet werden. Für Robo-Advisor-Anbieter bedeutet das: Fehlende Dokumentation ist kein Schutz, sondern ein zusätzliches Haftungsrisiko. Wer nicht dokumentiert, haftet im Zweifel leichter.

Dieser Mechanismus hat eine wichtige Steuerungswirkung: Er setzt Anreize, Modellentscheidungen von Anfang an so zu gestalten, dass sie zumindest im Nachhinein nachvollziehbar rekonstruiert werden können – auch wenn eine Echtzeit-Erklärung komplexer Modelle weiterhin technisch schwierig bleibt.

Das Technologieneutralitätsprinzip: Segen oder Problem?

Der Bitkom hat in seinem Positionspapier zur KI-Haftung klar formuliert: Das bestehende Haftungsrecht soll technologieneutral bleiben. Keine pauschalen Sonderregeln für KI als solche, Haftung soll am typischen Gefahrenpotenzial des Einsatzbereichs ausgerichtet werden, nicht an abstrakten Modell-Eigenschaften wie Autonomiegrad. Das klingt vernünftig.

Der Haken dabei: Ein Finanzmarkt-KI-System, das in Millisekunden eigenständig handelt, hat ein anderes Gefahrenpotenzial als ein Mensch, der dieselbe Entscheidung in einer Stunde trifft. Die Geschwindigkeit und Skalierung von KI-Systemen erzeugen Risiken, die klassisches Haftungsrecht noch nicht vollständig abbildet – Stichwort Herdenverhalten bei ähnlichen Modellen, Konzentrationsrisiken, systemische Effekte.

Rechnen wir nach: Wenn 20 verschiedene Robo-Advisor-Plattformen ähnliche ML-Modelle mit ähnlichen Trainingsdaten verwenden, werden sie in Stresssituationen ähnliche Verkaufssignale erzeugen. Gleichzeitiger Massenabzug aus denselben Asset-Klassen. Das ist kein hypothetisches Szenario, sondern eine reale Diskussion unter Aufsichtsbehörden. Die BaFin beobachtet dieses Thema, ohne bisher konkrete quantitative Schwellen zu benennen.

MiFID II trifft AI Act: Doppelter Pflichtenkatalog für Fintech-Anbieter

Das Finanzdienstleistungsrecht ist – und das ist entscheidend für das Verständnis der Lage – technologieneutral ausgestaltet. Es kommt auf die Tätigkeit an, nicht auf die Technologie. Wer als Robo-Advisor Anlageberatung oder Portfolioverwaltung im Sinne der MiFID II erbringt, unterliegt dem vollen Pflichtenkatalog: Wohlverhaltensregeln, Geeignetheitsprüfung, Kostentransparenz, Best Execution.

Künftig kommt der AI Act als horizontale KI-Regulierung obendrauf. Für Hochrisiko-KI-Systeme bedeutet das: Pflicht zu dokumentiertem Risikomanagement, Anforderungen an Datenqualität und Repräsentativität der Trainingsdaten, Transparenz- und Erklärungspflichten sowie obligatorische Human Oversight. Wie diese regulatorischen Hürden in der Praxis aussehen – exemplarisch am Schweizer FINIG-Rahmen dargestellt –, zeigt das MME-Magazin.

Für Neo-Broker und Fintech-Anbieter mit schlanken Compliance-Teams bedeutet das eine erhebliche operative Belastung. Konkret: Ein kleiner Robo-Advisor-Anbieter mit zwölf Mitarbeitern muss dieselben KI-Governance-Anforderungen erfüllen wie eine Großbank – zumindest sobald das System als Hochrisiko eingestuft wird. Model-Risk-Management, KI-Modell-Validierung, regelmäßige Audits. Das kostet Geld und Personal, das viele Fintechs strukturell nicht eingeplant haben.

Datenschutz und KI-Governance: Wo DSGVO und AI Act sich überschneiden

Robo-Advisor verarbeiten naturgemäß sensible personenbezogene Daten: Einkommensverhältnisse, Vermögensstand, Risikobereitschaft, Anlageziele. Das macht sie nicht nur zum Regulierungsgegenstand des AI Act, sondern auch zu einem zentralen Schauplatz der DSGVO-Compliance. Beide Regelwerke überschneiden sich erheblich – und eine strukturierte Datenschutz-Folgenabschätzung nach den Vorgaben des EDPB ist für Anbieter, die automatisierte Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen treffen, bereits nach Art. 35 DSGVO Pflicht.

Die praktische Herausforderung: Viele Fintech-Anbieter haben ihre DSGVO-Prozesse und ihre KI-Governance-Strukturen bislang in getrennten Silos betrieben. Das wird unter dem kombinierten Anforderungsprofil aus AI Act und DSGVO nicht mehr funktionieren. Wer ein KI-System im Bereich der automatisierten Portfolioverwaltung betreibt, benötigt ein integriertes Governance-Framework, das Datenschutzfolgenabschätzung, Modell-Risikobewertung und Transparenzdokumentation zusammenführt. Der Aufbau dieser Strukturen erfordert Zeit – und sollte deshalb nicht bis zum Ablauf der Übergangsfristen aufgeschoben werden.

Für betroffene Anleger ergibt sich daraus ein konkretes Recht: Das Auskunftsrecht nach Art. 15 DSGVO umfasst auch Informationen über automatisierte Entscheidungsfindung, einschließlich aussagekräftiger Informationen über die involvierte Logik. In der Praxis liefern viele Anbieter hier noch sehr generische Antworten. Das ist eine Lücke, die Aufsichtsbehörden zunehmend in den Blick nehmen.

Transparenzpflicht in der Praxis: Was Anleger wissen dürfen

Muss ich als Anleger darüber aufgeklärt werden, dass ein Robo-Advisor KI einsetzt? Ja. Das Prinzip der informierten Entscheidung verlangt, dass Funktionsweise, Risiken, möglicher Black-Box-Charakter und Interessenkonflikte transparent kommuniziert werden. Das ist bereits heute geltendes Recht unter MiFID II – keine Neuerung des AI Act, sondern etablierte Wohlverhaltenspflicht.

Was der AI Act neu hinzufügt: Für Hochrisiko-Systeme wird Erklärbarkeit von Entscheidungen zur formalen Anforderung, nicht nur zur Empfehlung. Das wird technisch anspruchsvoll. Je komplexer das Modell – Deep Learning, neuronale Netze –, desto schwieriger ist die Nachvollziehbarkeit einzelner Entscheidungsschritte. Die Forschungsrichtung „Explainable AI“ (XAI) existiert, aber standardisierte Methoden für den Finanzbereich fehlen noch weitgehend.

Unter dem Strich bedeutet das für Anleger: Sie haben heute schon das Recht, Auskunft zu verlangen, wie ihr Robo-Advisor entscheidet. In der Praxis kommen die Antworten oft dünn. Das wird sich durch den AI Act ändern müssen – mit konkreten Dokumentationspflichten und dem Recht auf menschliche Überprüfung bei automatisierten Entscheidungen.

Hybridmodell als Ausweg: Mensch bleibt im Loop

Der rechtliche Rahmen für KI im Finanzsektor und seine praktische Bedeutung zeichnen ein klares Bild: Vollautomatische Systeme ohne menschliche Überwachung sind im regulierten Finanzbereich auf absehbare Zeit kaum rechtskonform realisierbar. Der Markt bewegt sich deshalb in Richtung Hybridmodelle – KI analysiert, priorisiert, schlägt vor; der Mensch plausibilisiert und trägt die Endverantwortung.

Das ist aus regulatorischer Sicht kein Rückschritt, sondern eine sinnvolle Arbeitsteilung. Agentic AI und autonome Trading-Systeme, die vollständig ohne menschliche Intervention handeln, müssen sich deutlich höheren Governance-Anforderungen stellen. Wer als Fintech-Anbieter jetzt in robuste Human-Oversight-Prozesse investiert, baut gleichzeitig den Compliance-Nachweis auf, den Aufsichtsbehörden künftig einfordern werden.

Konkret: Eine Fintech-Plattform, die KI-generierte Portfolioempfehlungen automatisch umsetzt ohne dokumentierte Überprüfungsschritte, riskiert nicht nur Haftungsansprüche einzelner Anleger. Sie riskiert aufsichtsrechtliche Maßnahmen, die im schlimmsten Fall die Zulassung kosten. Bei den genannten Bußgeldrahmen von bis zu sieben Prozent des Jahresumsatzes ist das eine existenzielle Rechnung.

Was bleibt: Offene Fragen und Handlungsschritte

Drei Fragen bleiben konkret offen. Erstens: Welche KI-Investment-Systeme werden final als Hochrisiko eingestuft? Die Leitlinien fehlen noch, und die Antwort bestimmt den Aufwand für den gesamten deutschen Robo-Advisor-Markt. Zweitens: Wie löst der Gesetzgeber das Skalierungsproblem – kleine Fintechs mit denselben Pflichten wie Großbanken? Drittens: Wer überwacht die Aufsichtsbehörden selbst, wenn sie KI-Prüftools einsetzen?

Was Anleger jetzt tun können: Fragen Sie Ihren Robo-Advisor-Anbieter aktiv, ob und wie KI im System eingesetzt wird, wer konkret haftet bei algorithmischen Fehlentscheidungen und wie Interessenkonflikte gehandhabt werden. Anbieter, die keine klaren Antworten geben, signalisieren damit auch den Stand ihrer Compliance-Vorbereitung.

Was Anbieter jetzt tun sollten: Die Zeitlinie des AI Act ist bekannt. Wer bis August 2026 keine dokumentierten Risikomanagement-Strukturen, keine Model-Validation-Prozesse und keine Human-Oversight-Nachweise aufgebaut hat, sitzt dann unter echter Aufsichtsbeobachtung. Die Rendite der Compliance-Investition heute: Rechtssicherheit morgen. Und die ist, unter dem Strich, die einzige Kennzahl, die wirklich zählt.

Was denken Sie: Würden Sie einem vollautomatischen KI-Robo-Advisor Ihr Erspartes anvertrauen – oder braucht es für Sie zwingend den Menschen im Loop?